Introducción
Siempre que necesite que una aplicación externa invoque a Bizagi usando las funcionalidades de diferentes servicios (OData, Azure Active Directory, System for Cross-domain Identity Management, etc.), primero debe registrar las llaves OAuth (clientSecret y clientID) utilizadas para su autenticación en la opción Aplicaciones OAuth2 del menú Admin del Portal de Trabajo. Como estos servicios en Bizagi están protegidos y dependen de este mecanismo de autenticación estándar (OAuth versión 2.0), las solicitudes realizadas a estos servicios deben otorgarse con derechos sobre los recursos, utilizando las llaves OAuth generadas previamente.
Con la especificación de OAuth versión 2.0, Bizagi soporta los tres flujos de OAuth, que son los más utilizados:
Código de Autorización:
Esto permite a la aplicación del cliente autenticar a los usuarios con las credenciales introducidas en tiempo de ejecución (a través de una página de inicio de sesión).
Este flujo es diseñado para la interacción humana, dónde las solicitudes utilizan la suplantación de los usuarios finales.
Para más información sobre esta especificación, refiérase a https://tools.ietf.org/html/rfc6749#section-1.3.1.
Credenciales del cliente:
Esto permite la integración de servidor a servidor sin el uso adicional de credenciales específicos de usuarios finales.
Para más información sobre esta especificación, consulte https://tools.ietf.org/html/rfc6749#section-1.3.4.
Portador del token:
Esto permite a la aplicación del cliente autenticar utilizando un token.
Para más información sobre esta especificación, refiérase a https://tools.ietf.org/html/rfc6750.
Este artículo explica las diferentes opciones que tiene al registrar una aplicación en Aplicaciones OAuth2.
Opciones para el Registro de Aplicación
Para registrar una aplicación externa, primero debe ir al Portal de Trabajo y, en la sección Seguridad del menú Admin, seleccionar la opción Aplicaciones OAuth2.
Esta opción enumera los servicios a los que acceden los dispositivos Bizagi y permite incluir aplicaciones adicionales que representan el acceso otorgado a los servicios al proporcionar las llaves de acceso adecuadas.
Haga clic en la opción para agregar un nuevo registro a esta tabla:
Esto abre la ventana Registrar Aplicación, donde tiene las siguientes opciones:
Opción |
Descripción |
|
|---|---|---|
Nombre |
Nombre único y representativo que permite identificar la aplicación que se está registrando. |
|
Tipo de concesión |
Código de autorización |
Tipo de concesión utilizado para integrrar aplicaciones web o móviles, en el cual la aplicación recibe un código de autorización a través de la URL de redireccionamiento. Antes de obtener el token, el código de autorización es enviado al servidor de autorización para reducir las posibilidades de que los atacantes obtengan el token directamente. |
Credenciales del cliente |
Tipo de concesión utilizado para obtener un token de acceso en el contexto de un usuario (por ejemplo, obtener un token de acceso como administrador). Se usa comúnmente cuando necesita usar una función de Bizagi sin considerar a todos los usuarios de la aplicación (por ejemplo, cuando desea usar la capa OData, como usuario admon). Con este tipo de concesión, no es necesario enviar un código de autorización y las llaves de OAuth se validan directamente para obtener el token de acceso. |
|
Todos |
Tipo de concesión utilizado para obtener el token a través de un código de autorización, credenciales del cliente o un portador del token. En otras palabras, la forma en que la aplicación externa solicita el token puede ser cualquiera de los otros métodos de autorización descritos. |
|
Portador del token |
Tipo de concesión utilizado como un esquema de autenticación HTTP, de tal forma que una aplicación extena que utiliza el par de llaves OAuth pueda obtener un token de acceso directamente, enviando estas llaves en el encabezado de autorización de la solicitud HTTP (por ejemplo, cuando se sincronizan usuarios usando SCIM). Este método de autorización se recomienda bajo una conexión segura HTTPS. |
|
Página Web |
URL de la página web asociada. |
|
Scope permitido |
API |
Cuando está marcado, el token permite hacer uso completo de los servicios OData. |
LOGIN |
Cuando está marcado, el token permite que el proyecto de Bizagi se convierta en un IdP (autenticador) para acceder a otros proyectos de Bizagi. Este scope se recomienda especialmente cuando se utiliza Código de autorización como tipo de concesión. |
|
USER SYNC |
Cuando está marcado, Bizagi usa el estándar SCIM para obtener información de usuario de un sistema externo. Por lo tanto, debe verificar el scope cuando se sincronizan usuarios usando SCIM. |
|
ODATA QUERY |
Cuando está marcado, el token otorga un permiso específico para ejecutar las consultas del Portal de Trabajo utilizando el punto final (endpoint) Query de los servicios OData. |
|
RPA |
Cuando está marcado, el token otorga un permiso para responder callbacks de Automation Anywhere. |
|
Nombre de usuario |
Aplica cuando se usa Credenciales del cliente o Todos como tipo de concesión.
Nombre de un usuario de Bizagi existente (asegúrese de seleccionarlo de la lista sugerida de usuarios coincidentes). |
|
Dominio del usuario |
Dominio al que pertenece el usuario previamente seleccionado. |
|
Estrategia de redirección |
Aplicación Web |
Redirige al usuario a una URI web utilizando el código obtenido del servidor de autorización. |
Navegador Móvil de Barras de Título |
Valor utilizado cuando la aplicación redirige al usuario a una aplicación de dispositivo móvil. Como los dispositivos móviles no tienen un punto final, la solicitud se redirige enviando el código de autorización en la etiqueta HTML del título, de tal manera que el dispositivo móvil pueda obtenerlo desde allí. |
|
Puerto Local Móvil |
Bizagi envía un código a https://localhost:puerto/ donde un dispositivo móvil puede obtener el que fue enviado por el servidor de autorización. |
|
URI de redirección |
Aplica cuando se usa Código de autorización o Todos como tipo de concesión.
URL a la que el usuario es redirigido en el callback después de haber suministrado sus credenciales. La URL debe ser definida siempre usando HTTPS. |
|
Tiempo de vida del token (mins) |
Número de minutos para los que un mismo token es válido y puede ser reutilizado para otra invocación (este límite mejora la seguridad mientras se evitan ataques replay). Si no se especifica ningún valor, Bizagi considera que el token nunca caduca (vida útil infinita). |
|
Tipo de ciclo de vida |
Absoluto |
Tipo de ciclo de vida del token en el que la sesión de autenticación caduca una vez que se agota el tiempo de vida del token, independientemente de si se utilizó o no el sistema externo. Cuando el tiempo de vida se acaba, se debe negociar un nuevo token. |
Corredizo |
Tipo de ciclo de vida del token en el que la sesión de autenticación expira una vez que se agota el tiempo de vida del token pero, a diferencia del tipo de ciclo de vida del token absoluto, el tiempo de la sesión se restablece cada vez que se usa el sistema externo. |
|
Descripción |
Breve descripción del registro. |
|
Una vez haya terminado de seleccionar y completar las opciones que requiere, haga clic en el botón Guardar. Las llaves OAuth (clientSecret y clientID) se generan para la autenticación del sistema externo que acaba de registrar. Guarde estas llaves en un lugar seguro y utilícelas para otorgar acceso a la aplicación externa.
Last Updated 7/5/2023 2:27:48 PM